APT28使用XSS误差对多邮件系统发动网络特工行动

首页 > 清静研究 > 清静转达 > 清静简讯

APT28使用XSS误差对多邮件系统发动网络特工行动

宣布时间 2025-05-16

1. APT28使用XSS误差对多邮件系统发动网络特工行动

5月15日，斯洛伐克网络清静公司ESET最新研究发明，与俄罗斯有关联的威胁组织针对Roundcube、Horde、MDaemon和Zimbra等主流邮件系统实验了名为“Operation RoundPress”的网络特工运动。此次行动焦点目的是窃取特定邮箱账户的神秘数据，主要受害者为东欧政府机构及军工企业，同时非洲、欧洲和南美洲的政府部分也遭到攻击。研究职员将其归因于俄罗斯政府支持的黑客组织APT28，依据包括垂纶邮件发件地址重叠和服务器设置手法相似。攻击者通过邮件系统的XSS误差在网页邮箱界面执行恣意JavaScript代码。其中，MDaemon的XSS误差在攻击初期为零日误差，虽后续已修复，但其时未修复。APT28通过电子邮件发送XSS误差使用程序，恶意代码在浏览器运行的网页邮箱客户端中执行。误差使用乐成后，名为SpyPress的混淆JavaScript有用载荷会窃取邮箱凭证、邮件内容和联系人信息，部分变种还能建设Sieve规则，一连转发新邮件至攻击者邮箱。窃取的数据通过HTTP POST请求发送至C2服务器，某些变种还能捕获登录纪录、2FA代码，甚至为MDAEMON建设应用密码。

https://thehackernews.com/2025/05/russia-linked-apt28-exploited-mdaemon.html

2. Coinbase客户数据泄露，预计损失达4亿

5月15日，加密钱币生意所Coinbase披露，网络犯法分子与恶意外洋客服职员合作窃取了客户数据，并索要2000万美元赎金以不果真被盗信息。Coinbase拒绝支付赎金，但设立2000万美元奖励基金，以勉励提供有关攻击者的线索。此前，黑客向Coinbase发送电子邮件威胁宣布客户账户和内部文件信息，Coinbase视察发明攻击者在美国境外承包商或支持职员的资助下获取了客户数据，这些职员受雇会见内部系统，Coinbase发明后已开除相关职员。只管威胁行为者窃取了Coinbase约1%客户的小我私家身份信息，但无法获取客户私钥、密码或会见Coinbase Prime账户和钱包。被盗数据包括姓名、地址、电话、电子邮件、部分社会包管号、银行账号信息、政府身份证图像、账户数据及有限的公司数据。Coinbase强调没有密码、私钥或资金泄露，并将赔偿被诱骗向攻击者汇款的客户。虽然财务影响仍在评估中，但Coinbase预计调解和客户赔偿用度将在1.8亿美元至4亿美元之间。为避免未来违规行为，Coinbase妄想开设新的支持中心赔偿受影响客户，并增添对内部威胁检测、清静威胁模拟和自动响应的投资。

https://www.bleepingcomputer.com/news/security/coinbase-discloses-breach-faces-up-to-400-million-in-losses/

3. 恶意NPM包使用Unicode隐写术来逃避检测

5月15日，代码清静评估公司Veracode发明，Node包管理器索引中保存名为“os-info-checker-es6”的恶意软件包，该包自本月初以来已被下载凌驾1000次。该软件包最初版本于3月19日上传至NPM，最初功效仅是网络操作系统信息，看似无害。然而，几天后，作者对软件包举行了修改，添加了特定于平台的二进制文件和混淆的装置剧本。5月7日，该软件包宣布新版本，其中包括用于转达最终有用载荷的重大C2（下令和控制）机制代码。Veracode忠言称，目今npm上可用的最新版本v1.0.8为恶意版本。别的，该软件包还被列为其他四个NPM软件包的依赖项，但现在尚不清晰这些软件包是否或怎样被威胁行为者推广。在恶意版本中，攻击者使用Unicode隐写术，将数据嵌入看似“|”的字符串中，而竖线后隐藏了一长串不可见的Unicode字符，这些字符用于增进基于文本的隐写术。Veracode通过解码和反混淆字符串，找到了重大C2机制的有用载荷，该机制依赖Google日历短链接抵达托管最终有用载荷的位置。研究职员诠释了从获取Google日历链接到最终解码获取恶意软件有用载荷的整个历程，并指出最终有用载荷可能经由加密。

https://www.bleepingcomputer.com/news/security/malicious-npm-package-uses-unicode-steganography-to-evade-detection/

4. 印第安纳州政府忠言：小心冒充官方邮件的通行费诈骗

5月13日，印第安纳州政府机构于周二向住民发出忠言，要求删除使用州政府官方电子邮件地址发送的虚伪电子邮件。这些垂纶邮件来自多个州政府部分，包括儿童服务部、赛马委员会等，它们诱骗性地见告收件人保存未缴纳的通行费，并威胁若不缴纳将面临经济处�；虺盗竟液疟豢哿�。邮件最后常以“谢谢您，TxTag 客服”作为署名，并包括疑似恶意网站的链接。印第安纳州领土清静部通过手艺办公室在X平台宣布新闻，提醒公众小心此类诈骗。声明指出，州政府不会通过短信或电子邮件发送未缴通行费通知，并体现手艺办公室正与涉事公司合作，以阻止任何进一步的通讯。据相识，州政府于去年年底终止了与一家未签字供应商的条约，但未删除该州的账户。此次事务中，一名承包商的账户遭到黑客攻击，并被用于发送这些虚伪信息，而州系统并未发明入侵迹象。电子邮件截图显示，这些信息是通过丹佛软件公司Granicus的软件GovDelivery Communications Cloud分发的。Granicus讲话人Sharon Rushen体现，该事务并未伸张至其自身平台，系统是清静的。她指出，问题源于管理员用户账户被入侵，可能是通过推测凭证或社交工程手段获取。

https://statescoop.com/indiana-phishing-attack-contractor-hacked/

5. FrigidStealer通过虚伪浏览器更新攻击macOS用户

5月15日，FrigidStealer恶意软件正通过虚伪浏览器更新提醒攻击macOS用户，该变种于2025年2月首次被发明，并已波及北美、欧洲和亚洲的用户。此恶意软件隶属于Ferret恶意软件家族，与TA2726和TA2727病毒有关，两者均以使用虚伪浏览器更新为攻击手段而著称。该恶意软件伪装成Safari更新的磁盘映像文件（DMG），诱骗用户下载并装置。装置历程中，它会提醒用户输入密码，从而绕过Apple的Gatekeeper�；せ�，并借助内置的AppleScript功效执行恶意操作。装置后，它会伪装成一个带有特定bundle ID的恶意应用，与正当应用混淆视听。一旦激活，FrigidStealer便最先网络用户的敏感数据，包括浏览器凭证、系统文件、加密钱币钱包信息及Apple Notes等，并通过macOS的mDNSResponder路由的DNS盘问，将这些数据泄露到下令与控制服务器。窃取数据后，该恶意软件会自我终止，以降低被发明的危害。据开源网络清静公司Wazuh披露，FrigidStealer并不依赖古板的误差使用工具包或误差，而是使用用户对系统通知和浏览器更新提醒的信任举行攻击，这使得它更为危险且有用。别的，该恶意软件还使用macOS特有的行为来坚持长期性，通过注册为前台应用程序等方法与系统交互，并在执行后删除自身痕迹，以坚持隐藏。

https://hackread.com/frigidstealer-malware-macos-fake-safari-browser-update/

6. 招聘平台HireClick570万份简历遭泄露

5月15日，Cybernews研究职员克日发明一起大规模数据泄露事务，泉源指向面向中小型企业的招聘平台HireClick。由于亚马逊AWS S3存储桶设置过失，该平台凌驾570万份文件被袒露在互联网上，其中主要是求职者的简历，这些文件泄露了求职者的全名、家庭住址、电子邮件地址、电话号码及就业信息等敏感和私人数据。此次数据泄露对HireClick客户的影响深远。泄露的数据一旦落入不法分子之手，可能被用于身份偷窃、冒充、网络垂纶等多种诈骗运动。攻击者可能假扮招聘司理，使用泄露的信息诱骗求职者提供身份证扫描件、社会清静号码甚至银行信息，或通过电话诱骗求职者透露银行信息或装置恶意软件。别的，诈骗者还可使用泄露的简历建设虚伪身份举行就业验证诈骗，甚至冒充求职者进入事情场合系统。这种数据泄露行为的危害不但限于数据偷窃自己，还可能引发网络人肉搜索，即恶意曝光私人信息以骚扰或吓唬他人。攻击者掌握了受害者的全名、电子邮件、电话号码和现实地址，就能容易锁定并骚扰受害者。

https://cybernews.com/security/hireclick-resume-database-data-leak/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯官网入口

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯官网入口

清静研究